Descubren por casualidad una peligrosísima puerta trasera en Linux

La comunidad de software de código abierto está en vilo tras el descubrimiento de una puerta trasera en XZ Utils, la utilidad de compresión presente en la mayoría de las distribuciones de Linux. ¿Quién lo introdujo? Nada menos que un mantenedor de confianza. Pero, ¿qué significa esto para ti y tu sistema?

Andrés Freund, ingeniero de software en Microsoft, se topó con la puerta trasera mientras probaba algunas cosas en instalaciones de Debian sid (la versión de desarrollo) y notó que los inicios de sesión SSH estaban consumiendo mucha potencia de CPU y generando errores. El problema residía en la biblioteca de compresión de datos liblzma, parte del paquete XZ. Su conclusión fue clara: 

“El repositorio upstream de XZ y los archivos tar de XZ han sido comprometidos”. 

Aunque no se considera un investigador de seguridad ni un ingeniero inverso, Andrés informó del problema a Debian y otras distribuciones de Linux.

puerta trasera en XZ Utils

Distribuciones afectadas

¿Deberías preocuparte por la seguridad de tu máquina? Aquí están las distros afectadas. 

  • Fedora Rawhide (la versión actual de desarrollo de Fedora Linux) y Fedora Linux 40 beta contenían versiones afectadas (5.6.0, 5.6.1) de las bibliotecas xz. Sin embargo, Red Hat Enterprise Linux (RHEL) no se ve afectado.
  • openSUSE Tumbleweed y openSUSE MicroOS incluyeron una versión afectada de xz entre el 7 de marzo y el 28 de marzo.
  • Debian anunció que las versiones estables no están comprometidas, pero los paquetes afectados formaban parte de las distribuciones testing, unstable y experimental. Los usuarios de estas distribuciones deben actualizar los paquetes xz-utils.
  • Los usuarios de Kali Linux que actualizaron entre el 26 de marzo y el 29 de marzo también están afectados.
  • Arch Linux, Ubuntu, Linux Mint, Gentoo Linux, Amazon Linux y Alpine Linux no se ven afectados.

¿Qué debes hacer?

Seguir las indicaciones proporcionadas por los mantenedores de tu distribución Linux. Además, existe un script para verificar si tu sistema utiliza una versión comprometida de la biblioteca liblzma.

10 razones por las que debes seguir usando Windows – olvídate de Linux

Labels:

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.

Publicar un comentario (0)
Artículo Anterior Siguiente Artículo